「AWSセキュリティサービス 最新アップデート」というタイトルで登壇しました

「AWSセキュリティサービス 最新アップデート」というタイトルで登壇しました

re:Inforce 2023で発表されたアップデートについて解説していきます。
#Amazon GuardDuty
#Amazon Detective
#AWS
#Amazon Verified Permissions
#EC2 Instance Connect Endpoint
臼田佳祐

臼田佳祐

facebook logohatena logotwitter logo
Clock Icon2023.08.30

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、AWSセキュリティサービスのアップデートチェックしてますか?(挨拶

今回は先日開催した弊社イベントであるAWS re:Inforce参加者から見るクラウドセキュリティの最新動向と応用で登壇した内容の共有です。

資料

解説

前置き

re:Inforce 2023はめっちゃ面白かったです。

参加できなかった方も、来年は是非参加しましょう!

個人的には、普段からAWSセキュリティをやっている人もそうですが、普段は開発などでセキュリティ専門ではないけど、その知識や経験があると嬉しい人たちも参加すると非常にいいと思います。

re:Inforceやre:Inventは学習型のイベントです。濃密な時間で沢山のことを吸収できますから、ぜひ普段のロールがセキュリティじゃない方も参加をおすすめします。

アップデート一覧

re:Inforce 2023では沢山のAWSセキュリティ関連のアップデートがありました。大体の物を一覧で並べます。太字は詳しい解説があります。

  • Amazon Verified Permissions
  • Amazon EC2 Instance Connect Endpoint
  • Amazon Inspector code scanning of Lambda functions
  • Amazon Inspector SBOM export
  • Amazon ECR Basic Scan supports CVSS v3
  • Amazon CodeGuru Security
  • Amazon GuardDuty Summary View
  • Amazon Detective finding groups
  • AWS Security Hub Automation Rules
  • AWS WAF Account Creation Fraud Prevention
  • AWS Payment Cryptography
  • AWS Database Encryption SDK
  • AWS DRS VPC configurations recovery
  • AWS Audit Manager third-party risk assessment / CSV
  • AWS IAM Identity Center supports Google Workspace
  • AWS CloudTrail Lake dashboard for top trends
  • Amazon S3 announces dual-layer server-side encryption

当日は取り上げないものも軽く解説したりしました。下記タグがついている記事も合わせてご参照ください。

ではメインの解説いきましょう。

Amazon Verified Permissions

Amazon Verified Permissionsはアプリケーションの認可を制御できるサービスです。

従来はAWS上の認証認可としてIAM、アプリケーションの認証にはAmazon Cognitoを利用できていましたが、アプリケーションの内部ロジックで利用する認可機能は独自に実装する必要がありました。

このサービスによりアプリケーションの認可をオフロードすることができ、アプリケーションロジックと認可のロジックを分離することができます。

詳細は以下もご確認ください。

Amazon EC2 Instance Connect Endpoint

Amazon EC2 Instance ConnectはEC2に接続するために一時的な公開鍵を作成して安全にSSHが利用できる機能です。従来はパブリックなEC2にしか接続できませんでしたが、Amazon EC2 Instance Connect Endpointを利用することで、プライベートなEC2インスタンスでも接続できるようになりました。

Amazon EC2 Instance Connect以外にも、安全にEC2インスタンスに接続する方法として、AWS Systems Manager Session Managerがあります。こちらでは以前からプライベートなEC2インスタンスにも利用できていたのでこちらを利用する方も多かったと思います。

今回のアップデートがSession Managerと一番違う部分は、プライベート接続のために作成するEndpointが1つで済み、費用がかからないことです。うまく使い分けできそうですね。

詳しくは以下をご確認ください。

Amazon Inspectorコードスキャン

Amazon Inspectorはv2になってからカバレッジも広がり様々な脆弱性管理ができるようになってきました。

今回はAWS Lambdaのコードで作り込んでしまった脆弱性も検知できるようになりました。

どのようにコードを修正すればいいかレコメンドもしてくれます。詳しくは以下を確認してください。Lambdaに仕込んだOSコマンドインジェクションを検知させてみました。

Amazon GuardDutyサマリーダッシュボード

とりあえずこれを見てください。

細かいことはおいておいて、すごくいい感じじゃないですか?

これまでAmazon GuardDutyは検知したFindings一覧の画面がデフォルトでしたが、その内容をサマリーしてくれるようになりました。

すごく便利です。詳細は下記をご確認ください。

Amazon Detectiveの検出結果グループ

とりあえずこれを見てください。

なんかすごくいい感じじゃないですか?

ついにAmazon Detectiveに可視化機能が追加されました。これは複数のGuardDuty Findingsをまとめて検出結果グループとし、そのエンティティの関係性をグラフにしてくれています。

詳しくは下記をご確認ください。

まとめ

re:Inforce 2023で発表されたアップデートの紹介でした。

どれも良い機能なのでガンガン使っていきましょう!

Share this article

facebook logohatena logotwitter logo

関連記事

EC2インスタンスメタデータv2からワンライナーでクレデンシャルを取得してみた

EC2インスタンスメタデータv2からワンライナーでクレデンシャルを取得してみた

User avatar
臼田佳祐
2024.10.29
[アップデート]Amazon GuardDuty S3マルウェア保護機能有効化時のIAMロール作成が非常に楽になりました!

[アップデート]Amazon GuardDuty S3マルウェア保護機能有効化時のIAMロール作成が非常に楽になりました!

User avatar
べこみん
2024.10.27
Amazon Q CLIで短い自然言語からリソースIDをシェルの変数に保存してみた - GuardDuty Detector ID編

Amazon Q CLIで短い自然言語からリソースIDをシェルの変数に保存してみた - GuardDuty Detector ID編

User avatar
臼田佳祐
2024.10.22
[コスト大事] Amazon Athena で S3 の大量オブジェクトをクエリする場合はスキャン量だけでなくリクエスト量も意識しよう

[コスト大事] Amazon Athena で S3 の大量オブジェクトをクエリする場合はスキャン量だけでなくリクエスト量も意識しよう

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.